Probleme mit Winbind und AD

[Sorehead]

Hallo zusammen!

Ich versuche unter SLES10 SP2 einen Sambaserver auszusetzen. Dieser Server soll nur als Fileserver dienen. Wichtig dabei ist aber, dass ich zur Authentifizierung keinen lokalen Account, sondern unsere AD-Domäne nutzen will.

Ich habe also die krb5.conf eingerichtet. Das funktioniert auch alles schön. Ich bekomme auch alle Tickets die will.
Auch im AD habe ich die entsprechenden Einträge gemacht (servicePrincipalName etc.).

Code:

[libdefaults]
        default_realm = RZN.DRV
        clockskew = 300

[realms]
RZN = {
        kdc = s6702056.rzn.drv
        default_domain = rzn
        admin_server = s6702056.rzn.drv
}
RZN.DRV = {
        kdc = s6702056.rzn.drv
        default_domain = rzn.drv
        admin_server = s6702056.rzn.drv
}

[logging]
        kdc = FILE:/var/log/krb5/krb5kdc.log
        admin_server = FILE:/var/log/krb5/kadmind.log
        default = SYSLOG:NOTICE:DAEMON
[domain_realm]
        .rzn.drv = RZN.DRV
        .rzn = RZN
[appdefaults]
pam = {
        ticket_lifetime = 1d
        renew_lifetime = 1d
        forwardable = true
        proxiable = false
        retain_after_close = false
        minimum_uid = 1
        try_first_pass = true
}

Zu Testzwecken habe ich auch die PAM-Module geändern, um nen Login mit AD-Accounts zu machen. Aber dafür brauche ich auch ja auch lokale Accounts.


Die smb.conf habe ich dann folgendermaßen geändert:

Code:

[global]
        workgroup = RZN
        realm = RZN.DRV
        security = ADS
        idmap domains = RZN
        idmap config RZN:backend = nss
        winbind use default domain = Yes
        winbind separator = / 
        idmap gid = 10000-20000
        idmap uid = 10000-20000
        log level = 2 winbind:3
        encrypt passwords = yes
        preferred master = no
        template shell = /bin/false
        template homedir = /home/%D/%U
        client use spnego = yes

[Sonstiges]
        writeable = yes
        path = /share/Sonstiges

Die nsswitch.conf:

Code:

passwd: files winbind
shadow: files 
group:  files winbind

Mit diesem Setup habe ich dann den Zugriff auf die Samba-Freigabe getestet. Allerdings mit einem Benutzer der sowohl im AD als auch lokal war. Funktioniert gut.
Aber ich will ja keine lokalen Accounts. Also habe ich den Acocunt gelöscht und bekomme folgenden Fehler:

[2008/07/02 13:56:15, 1] smbd/sesssetup.c:reply_spnego_kerberos(439)
Username RZN/frenzeltest is invalid on this system

Der Meldung entnehme ich, dass mit Winbind was nicht stimmt.
Ich teste mit

Code:

wbinfo -u

und bekomme:

Error looking up domain users

Aber

Code:

net ads join -U Administrator@RZN.DRV

hat fehlerfrei geklappt.


Hat jemand eine Idee?

Gruß,Sascha

[muell200]

Ich habe also die krb5.conf eingerichtet. Das funktioniert auch alles schön. Ich bekomme auch alle Tickets die will.

achte auf gross und kleinschreibung!!!
z.b.:

Code:

[realms] 
        TEST.LOCAL = { 
                kdc = DC.TEST.LOCAL 
        }

Code:

wbinfo -u

was sagt getent passwd

Hat jemand eine Idee?

stimmt dein dns infrastruktur?
kannst du alle server mit dem kompletten dns aufloesen?

[Sorehead]

Habe vorhin

Code:

winbind enum users = yes
winbind enum groups = yes

der smb.conf hinzugefügt. Jetzt kommt auch was bei wbinfo.

getent teste ich gerade..

DNS funktioniert prächtig

[Sorehead]

Code:

getent passwd

liefert leider nur die lokalen.

Muss man beim AD vielleicht doch noch was machen? Brauche ich diese Unix-Attribute dafür?

[Sorehead]

Hat niemand eine Idee?

[MiGo]

Hat niemand eine Idee?

Was sagen die Logs, wenn du versuchst mit "id user-aus-dem-ADS" Infos zu dem Benutzer zu beziehen?

[Sorehead]

Hehe.. Da kommt:

id: frenzeltest: Einen solchen Benutzer gibt es nicht

Und frenzeltest ist ein AD-Benutzer

[MiGo]

winbind separator = /

Dann wäre das einzige, was mir akut noch einfällt, einen anderen separator zu verwenden.